Показано с 1 по 15 из 15.

Win32/TrojanDownloader.Carberp.AM (заявка № 136218)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41

    Win32/TrojanDownloader.Carberp.AM

    Здравствуйте!
    Во время сканирования Nod32 v4 обнаружил вирус, выдает сообщение:
    "Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(126 модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа очистка невозможна"
    Также браузер IE постоянно вылетает.

    Нахожу авторан, отключаю, удаляю файл, который запускается - всё работат... на следующий день, снова вылазит этот троян. Всё время, приносит с собой, каждый раз новые трояны, которые Нодом чистятся.

    Буду благодарен за ваш труд.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) OPEOP, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Здравствуйте!

    1. Выполните скрипт в AVZ (Чтобы узнать, как это сделать, нажмите здесь.):
    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\progra~2\dxenjunv.exe','');
    DeleteFile('c:\progra~2\dxenjunv.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','55685');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. Затем выполните ещё один скрипт в AVZ:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    3. Пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).

    4. Сделайте повторные логи (hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip).

    5. Смените все пароли, особенно от банковских счетов.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от hedgars Посмотреть сообщение
    Здравствуйте!

    1. Выполните скрипт в AVZ (Чтобы узнать, как это сделать, нажмите здесь.):
    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\progra~2\dxenjunv.exe','');
    DeleteFile('c:\progra~2\dxenjunv.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','55685');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. Затем выполните ещё один скрипт в AVZ:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    3. Пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).

    4. Сделайте повторные логи (hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip).

    5. Смените все пароли, особенно от банковских счетов.
    Спасибо большое!

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от hedgars Посмотреть сообщение
    4. Сделайте повторные логи (hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip).
    где ?

  8. #6
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от regist Посмотреть сообщение
    где ?
    Простите.
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Профиксите в HijackThis

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    повторите лог HijackThis

    - Сделайте лог полного сканирования МВАМ.

  10. #8
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41
    Всё сделал, теперь не запускается виндовс. Доходит до приветствия и уходит в вечность.
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от OPEOP Посмотреть сообщение
    Всё сделал, теперь не запускается виндовс. Доходит до приветствия и уходит в вечность.
    поясните подробней. И после чего это началось ? после фикса это никак не могло, т.к. он только настройки браузера исправил.

    и как сделали тогда новые логи ?
    -----------------------------
    Удалите в MBAM

    Код:
    Обнаруженные ключи в реестре:  4
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

  12. #10
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от regist Посмотреть сообщение
    поясните подробней. И после чего это началось ? после фикса это никак не могло, т.к. он только настройки браузера исправил.

    и как сделали тогда новые логи ?
    -----------------------------
    Удалите в MBAM

    Код:
    Обнаруженные ключи в реестре:  4
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

    Простите, всё заработало. По видимому, пользователь не мог правильно перезагрузить. Всё работает. В MBAM всё удалил.
    Спасибо!

  13. #11

  14. #12
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от regist Посмотреть сообщение
    сделайте новый лог сканирования MBAM.

    смените пароли.
    Вот.
    Вложения Вложения

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    деинсталируйте MBAM

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  16. #14
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от regist Посмотреть сообщение
    деинсталируйте MBAM

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера
    Большое спасибо!!!

  17. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) OPEOP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/TrojanDownloader.Carberp.AD - как избавиться? [Trojan-Spy.Win32.Carberp.uls ]
      От Комарова Татьяна в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.12.2012, 22:48
    2. Ответов: 13
      Последнее сообщение: 18.11.2012, 15:09
    3. Ответов: 8
      Последнее сообщение: 21.08.2012, 10:11
    4. троян Win32/TrojanDownloader.Carberp.AF [Trojan-Spy.Win32.Carberp.pki ]
      От shlyambur в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.08.2012, 23:52
    5. Win32/TrojanDownloader.Carberp.AF [Trojan.Win32.Jorik.Carberp.cpr ]
      От msv123 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 03.08.2012, 00:38

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00897 seconds with 20 queries